Dal SANS NewsBites segnalo un articolo in merito all'attacco alla Target, un
fornitore di servizi collegati alle carte di credito:
-
http://www.businessweek.com/articles/2014-03-13/target-missed-alarms-in-epic
-hack-of-credit-card-data#p1
L'attacco alla Target è avvenuto a fine 2013 e la notizia è stata pubblicata
da molte parti. Non mi dilungo, ma ricordo solo che dei malintenzionati sono
riusciti a rubare 40 milioni di numeri di carte di credito.
La cosa interessante, a mio parere, è soprattutto questa: Target aveva
superato l'audit PCI per gestire i dati delle carte di credito e aveva
installato il prodotto FireEye (da affiancare ad un prodotto Symantec) per
rilevare malware sui propri sistemi. Il prodotto FireEye era costato 1,6
milioni di dollari e ha funzionato: quando i malintenzionati avevano
installato il malware sui server della Target per poi recuperare i numeri di
carte di credito, FireEye ha lanciato allarmi al SOC e... nessuno ne ha
fatto nulla.
Qui si sono sommate due pratiche nefaste:
- certificarsi per avere il pezzo di carta e avviare progetti solo per dare
prove agli auditor (tra l'altro, allo stesso costo del miglioramento reale,
perché 1,6 milioni di dollari non sono uno scherzo);
- acquistare e, forse, installare prodotti (a costo elevato) e non pensare
ai processi.
Temo che, come sempre, nessuno imparerà la lezione.
Nessun commento:
Posta un commento